Salasanan entropia selitetty — ja miksi "monimutkainen" salasanasi on heikompi kuin tunnuslause
Entropia on ainoa rehellinen salasanan vahvuuden mittari. Tässä on selitetty, miten se lasketaan, kuinka kauan hyökkääjillä kestää eri tasojen murtaminen, ja miksi neljä satunnaista sanaa usein voittaa 12-merkkisen "P@ssw0rd!".
"Tee salasanastasi monimutkainen" on hyödytön neuvo. Se kehottaa sinua lisäämään symbolin ja numeron ikään kuin se tekisi salasanasta turvallisen. Se ei tee sitä. Ainoa rehellinen salasanan vahvuuden mittari on entropia, ja useimmat "monimutkaiset" salasanat saavat siinä huonomman pistemäärän kuin luulet.
Mitä entropia todella mittaa
Entropia on salasanassasi olevan satunnaisuuden bittien määrä — toisin sanoen kuinka monta arvausta hyökkääjä tarvitsee keskimäärin sen murtamiseen väkivallalla. Se lasketaan kaavalla pituus × log₂(poolin koko).
Esimerkki: 10-merkkinen salasana, jossa käytetään vain pieniä kirjaimia (pooli = 26), on entropialtaan 10 × log₂(26) ≈ 47 bittiä. 10-merkkinen salasana, jossa käytetään pieniä kirjaimia, isoja kirjaimia, numeroita ja symboleja (pooli = 88), on 10 × log₂(88) ≈ 64,6 bittiä. Sama pituus, mutta suurempi pooli saa jokaisen merkin toimimaan tehokkaammin.
Kuinka monta bittiä on "turvallista"?
Karkeat nykyaikaiset kynnysarvot (olettaen hyvin tiivistetyn salasanan, joka kestää tietokannan vuotamisen — jos sivusto käyttää bcryptia tai argon2ia, kuten sen pitäisi):
- Alle 40 bittiä: murtaminen minuuteissa yhdellä näytönohjaimella.
- 40–60 bittiä: murtaminen tunneista viikkoihin vakavalla hyökkääjällä, jolla on GPU-farmi.
- 60–80 bittiä: turvallinen nykyisen offline-väkivallanteon vastaan. Hyvä tavoite yksittäisille tileille.
- 80–100 bittiä: kestävä kaikille nykyisille vastustajille, kansallisvaltioita mukaan lukien, nykyisen laitteiston elinkaaren ajan.
- 100+ bittiä: liikaa mille tahansa realistiselle uhkamallille.
Tavoittele 80 bittiä kaikkeen, joka suojaa rahaa, identiteettiä tai infrastruktuuria. Tavoittele 100+ salasanahallinnan pääsalasanassa.
"Monimutkaisen" salasanan ansa
Käyttäjät, joita pyydetään luomaan "monimutkainen" salasana, valitsevat ennustettavia kuvioita: isolla alkukirjaimen, numero lopussa, vaihda a @:ksi. Password1! on 10 merkkiä pitkä ja näyttää monimutkaiselta ihmiselle. Murtajalle se on yksi arvaus — se esiintyy jokaisessa vuodetun salasanan sanakirjassa.
Käyttäjän valitsemien salasanojen todellinen entropia on huomattavasti pienempi kuin niiden poolin koko ehdottaa, koska ihmiset eivät ole hyviä satunnaisuudessa. Tutkimukset asettavat sen johdonmukaisesti 20–30 bitin tietueille väitetystä monimutkaisuudesta riippumatta.
Miksi tunnuslauseet voittavat
Tunnuslause on 4–7 satunnaista sanaa, jotka on liitetty yhdysmerkeillä: puutarha-joki-kynä-vahva-auringonlasku-silta. Kuusi satunnaista sanaa 512 sanan luettelosta on 6 × log₂(512) = 54 bittiä entropiaa — enemmän kuin useimmat ihmiset saavuttavat "monimutkaisella" salasanallaan, ja huomattavasti helpommin muistettavissa.
Laajenna seitsemään sanaan ja ylitä 63 bittiä. Kahdeksan sanaa 7776 sanan luettelosta (Diceware) antaa 103 bittiä. Kaikki samalla kun se on helppo kirjoittaa, helppo muistaa ja immuuni useimmille sanakirjan hyökkäyksille (koska yhdistelmä on satunnainen, vaikka jokainen sana olisikin yleinen).
Ääntöpolut salasanat: Keskitie
Tilanteissa, joissa salasana on sanottava puhelimitse, ääntöpolut salasanat vuorottelevat konsonanttien ja vokaalien kanssa: baketomiloguno. Jokaisella tavulla (konsonantti + vokaali) on log₂(21 × 5) ≈ 6,7 bittiä entropiaa, joten kuusi tavua antaa noin 40 bittiä.
Heikompi kuin tunnuslauseet mutta vahvempi kuin tyypilliset käyttäjän valitsemat salasanat, ja erityisen helpompi lukea ääneen ilman "oliko se O vai nolla?" -kysymystä.
Turvallisten salasanojen luominen
Älä luota ihmisen satunnaisuuteen. Käytä työkalua. aukimi-salasanageneraattori tarjoaa kolme tilaa — satunnainen, tunnuslause ja ääntöpolut — ja livenä entropia-mittari, joten voit nähdä täsmälleen kuinka vahva tulostuva on. Se käyttää crypto.getRandomValues (selaimen kryptografisesti turvallista satunnaislähdettä) ja soveltaa hylkäysnäytteenottoa modulo-harhan poistamiseksi.
Kriittisesti tärkeää: luominen tapahtuu kokonaan selaimessasi. Mitään ei lähetetä, lokiteta tai tallenneta. Avaa devtools-verkkovälineesi samalla kun luot — näet nolla pyynnön poistuvan sivulta.
Yksi sääntö
Käytä salasanahallintaa. Luo pitkä satunnainen salasana jokaiselle sivustolle (salasanahallinnan koskaan unohtaa sitä, joten pituudella ei ole merkitystä käytettävyyden kannalta). Käytä tunnuslausta salasanahallinnan pääsalasanana — se on se, jonka sinun on muistettava.
Kaikki muu on optimointia. Saa tämä yksi kaava oikein ja olet edellä 95 prosentista käyttäjistä.
Piditkö tästä artikkelista?
Aiheeseen liittyvät artikkelit
Luova pino romahti: Yksi viikko AI-työkaluista, huhtikuun loppu 2026
27. huhtikuuta – 4. toukokuuta 2026 välisenä aikana Adobe, Luma, Novi, fal, Figma, Canva, HeyGen ja Anthropic ylittivät saman kynnyksen kahdeksassa päivässä. Tässä on mitä julkaistiin, mitä se tarkoittaa, ja mihin se jättää selainpohjaiset luovien sovellusten paketit, jotka yrittävät integroida kaiken.
AI-musiikki ja SFX vuonna 2026: Mikä todella toimii indie-pelien äänityössä
Kolme vuotta sitten indie-pelien ääni tuli joko rojaltivapaista kirjastoista (halpa, generik, jokainen peli kuulostaa samalta) tai palkatussa säveltäjältä (hyvä, kallis). Vuonna 2026 tekoäly tuottaa julkaisukelpoista musiikkia. Tässä on mitkä työkalut toimivat — ja missä ihmissäveltäjä voittaa.
AI-pohjainen mesh-generointi 2026: Mitä todellisuudessa toimitetaan peliputkiin
Image-to-3D siirtyi "kammottavasta demosta" "indie-projekteihin toimitetuksi" 18 kuukaudessa. Tässä on, mitä Tripo, Meshy, Rodin ja Hyper3D todella tekevät tuotannossa — ja missä 3D-taiteilija voittaa mallin joka kerta.